行業新聞與部落格

一系列針對流行開源軟體包的引人注目的攻擊事件被發現，暴露出廣泛使用的軟體工具中惡意程式碼滲透的風險越來越大。 

威脅者在與 rspack（JavaScript 打包程式）和 vant（用於移動 Web 應用的 Vue UI 庫）關聯的軟體包中植入了加密挖礦惡意軟體。這些工具每週從主流軟體包管理器 NPM 下載量達數十萬次。

據 rspack 維護人員稱，這些漏洞由 ReversingLabs 的安全研究人員發現，影響了 @rspack/core 和 @rspack/cli 版本 1.1.7。這些版本已被迅速刪除並替換為乾淨版本（1.1.8）。

同樣，vant 的受感染版本（從 2.13.3 到 4.9.14）也已透過無惡意軟體更新（版本 4.9.15）進行了修補。這些軟體包中使用的惡意程式碼包括 XMRig 加密礦工，這是近期供應鏈攻擊 中反覆出現的工具。

一系列開源威脅

這些事件是開源軟體入侵趨勢的一部分。就在幾周前，惡意行為者 瞄準了 @lottiefiles/lottie-player，這是一個每週下載量超過 100,000 次的動畫外掛，嵌入了竊取加密錢包的惡意軟體。另一次對 Solana 區塊鏈庫 的攻擊危及了使用者錢包，而 ultralytics Python 包則被利用來分發 XMRig 加密礦工。

ReversingLabs 解釋說，rspack 和 vant 漏洞源於被盜的 NPM 令牌，攻擊者藉此上傳了受汙染的版本。在 ultralytics 案例中，GitHub Actions Script Injection 和被盜的 PyPI API 令牌促成了攻擊。每起事件都顯示出一些明顯的跡象，例如混淆的程式碼和與外部伺服器的未經授權的通訊。

發現並預防攻擊

差異分析在發現這些漏洞方面發揮了關鍵作用。透過比較乾淨版本和惡意版本，研究人員檢測到了新檔案、混淆的 JavaScript 和可疑的外部 URL。 

ReversingLabs 軟體威脅研究員 Lucija Valentić 表示：“透過對兩個版本的軟體進行差異分析，差異策略可以檢測已知軟體供應鏈攻擊的行為和特徵變化，從而可能在攻擊發生之前避免它們。”

差異分析只是對抗此類攻擊的幾種方法之一。其他方法包括實施嚴格的訪問控制以防止未經授權的更改、定期掃描軟體依賴項以查詢漏洞以及使用自動化工具監視軟體包更新中的可疑行為。